Анализ защищенности (также называемая «
оценкой защищенности») — это комплексная проверка инфраструктуры предприятия на наличие возможных уязвимостей и поиск уязвимых мест в сети, включающая:
● проверку уязвимостей локальной сети;
● проверку на наличие вирусов;
● анализ надежности паролей;
● анализ необходимых обновлений безопасности операционных систем;
● анализ настроек программного обеспечения.
Говоря простыми словами, в процессе анализа защищенности проверяется безопасность различных информационных систем организации.
Основная цель анализа защищенности — обнаружить уязвимости в системе информационной безопасности организации, которые могут быть использованы злоумышленниками для получения доступа во внутреннюю сеть.
Причины проведения анализа защищенности
В каждой организации сеть состоит из множества узлов и других элементов инфраструктуры, которые нуждаются как в оценке эффективности их защиты.
Основная причина проведения анализа защищенности — это проработка существующих киберррисков, а также удовлетворение требований регуляторов по проведению анализа защищенности информационных систем и баз данных в рамках оценки соответствия различным нормативно-правовым актам в сфере информационной безопасности.
Анализ защищенности должен проводиться:
● в процессе создания требований к защищенности инфраструктуры предприятия.
● регулярно, при внедрении в работу новых сервисов и программных продуктов, включая средства защиты информации.
Основные виды анализа защищенности
В процессе проверки инфраструктуры предприятия эксперты выделяют несколько основных виды анализа защищенности:
Инструментальный анализ защищенности
Инструментальный анализ защищенности заключается в проведении как автоматического, так и ручного тестирования на проникновение и моделировании атак киберпреступников.
В данном методе широко распространено использование сканеров уязвимостей и специального программного обеспечения, которое осуществляет автоматизированный поиск и анализ уязвимостей объекта. Ключевая особенность инструментального анализа — скорость проведения анализа. Однако у данного метода есть существенный недостаток, который выражается в невозможности обнаружения специфических уязвимостей из-за чего появляется необходимость в проведении аудита информационной безопасности (например, тестом на проникновение).
Тестирование на проникновение в рамках инструментального анализа защищенности
Одна из составных частей инструментального анализа защищенности — это тестирование на проникновение (пентест).
Тестирование на проникновение подразумевает оценку защищенности внутреннего и/или внешнего периметров организации путем имитации атаки злоумышленников.
Тестирование на проникновение состоит из шести основных этапов:
● интервьюирование ответственных сотрудников, планирование — определение области тестирования,
● идентификация уязвимостей,
● попытка эксплуатации уязвимостей,
● создание отчета с рекомендациями по устранению выявленных уязвимостей,
● устранение уязвимостей,
● повторное тестирование.
При определении целей тестирования на проникновение задается регламент, цель которого определить границы и порядок проведения работ:
● выбираются объекты исследования,
● определяется модель нарушителя,
● определяется режим работы и недопустимые события (например отказ тестируемых сервисов или программ).
Существует 3 классических сценария тестирования на проникновение:
●
Белый ящик — режим проведения тестирования на проникновение, при котором исполнитель имеет всю информацию о структуре и средствах защиты проверяемого объекта.
●
Черный ящик — режим проведения тестирования на проникновение, при котором исполнитель имеет минимальное количество информации о проверяемом объекте.
●
Серый ящик — тестирование серого ящика включает в себя плюсы тестирования «черного» и «белого»: тестировщик смотрит на объект тестирования с позиции «черного» ящика, но при этом проводит анализ на основе данных о системе, которые он знает.
Активный или ручной анализ защищенности
Основным отличием этого вида анализа защищенности является использование зондирования, которое позволяет исполнителю обнаружить наличие уязвимостей на проверяемом объекте.
Активный анализ защищенности более трудоемкий процесс, чем «сканирование», но его результаты более точно отражают уязвимость объекта.
Однако существуют ситуации, при которых может привести к отказу анализируемого объекта или сети.
Также, существуют уязвимости информационной безопасности, которые не могут быть обнаружены без нарушения работоспособности операционных систем в процессе сканирования. Именно из-за этого имитация атак подходит не для всех случаев.
Пассивный анализ защищенности
В качестве отличительной черты пассивного анализа защищенности выделяют сканирование, с помощью которого производится анализ систем на наличие уязвимостей по косвенным признакам.
Такой метод является наиболее быстрым и простым для реализации, и на практике этот механизм называют «проверка заголовков». В процессе сканирования каждый имеющийся заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей.
На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Подобный механизм представляет собой ряд проверок в формате сканирования и позволяет сделать вывод об уязвимости, исходя из полученной от сканера информации.
Пассивный анализ защищенности является важным шагом при сканировании сетей, ведь он не может привести к нарушению функционирования объектов анализа.
Использование сканеров в процессе анализа защищенности
Для осуществления анализа защищенности чаще всего используются сканеры защищенности.
Основные результаты работы сканеров защищенности выражаются в отчетах с описанием найденных уязвимостей и вариантами их устранения.
Сканер обеспечивает:
● оценку эффективности мер обеспечения безопасности информационной инфраструктуры,
● проверку приложений и сервисов на наличие уязвимостей,
● оценку эффективности защитных функций ПО.
В процессе анализа защищенности сканеры могут работать в двух режимах:
●
Статическое сканирование. При использовании сканера уязвимостей в режиме статического сканирования происходит пассивный анализ инфраструктуры, в процессе которого осуществляется анализ уязвимостей по косвенным признакам.
●
Динамическое сканирование. При использовании сканера уязвимостей в режиме динамического сканирования, предусматривается имитация атак потенциальных злоумышленников.
Комментарий эксперта
«Анализ защищенности это комплексная работа, которая включает как анализ уязвимостей, так и тестирование на проникновение и проводится в большинстве случаев, когда организации необходимо оценить реальную защищенность систем и оценить готовность компании отражать потенциальные кибератаки. Уязвимости представляют собой некие „проходы“ которые злоумышленники могут использовать для проникновения во внутреннюю систему организации. Не все уязвимости критичны, но некоторые из них представляют серьезную угрозу для целостности инфраструктуры и требуют внимания узкоспециализированных экспертов. Если у вас остались вопросы о видах анализа защищенности или применяемых методах анализа вы можете связаться с нами через форму на страницах услуг Оценка защищенности или Тестирование на проникновение. Мы будем рады вам помочь!»
Вадим Голованов
Руководитель направления
"Практическая кибербезопасность"
FBK CyberSecurity